Giao thức NTLM
NTLM là bộ giao thức bảo mật của Microsoft được thiết kế để cung cấp tính năng xác thực, toàn vẹn và bảo mật cho người dùng cuối. Giao thức này sử dụng cơ chế challenge-response để xác thực. Máy chủ gửi một challenge đến máy khách, được mã hóa bằng mật khẩu của người dùng và response sau đó sẽ được trả về máy chủ.
Về cơ bản, Kerberos được coi là cơ chế xác thực an toàn và hiện đại hơn. Tuy nhiên, NTLM vẫn phổ biến và có nhiều ưu điểm so với Kerberos. Chẳng hạn, nó không yêu cầu kết nối mạng cục bộ với Bộ điều khiển miền (Domain Controller) và loại bỏ nhu cầu biết danh tính của máy chủ mục tiêu.
Để tận dụng những lợi ích này, các nhà phát triển mã hóa NTLM vào ứng dụng và dịch vụ của họ. Điều đó nói lên rằng, có nhiều lỗ hổng khác nhau liên quan đến NTLM có thể dẫn đến các cuộc tấn công Pass-the-hash hoặc Relay. Microsoft khuyến nghị khách hàng nên chuyển sang các giải pháp bảo mật hơn như Kerberos để đảm bảo an ninh. Tuy nhiên, NTLM vẫn được sử dụng rộng rãi để hỗ trợ kế thừa và trong một số trường hợp không thể triển khai Kerberos. Nó cũng có thể phục vụ như một phương thức xác thực dự phòng khi Kerberos bị lỗi.
Cụ thể, các tác nhân đe dọa đã khai thác rộng rãi NTLM trong các cuộc tấn công NTLM Relay, trong đó chúng buộc các thiết bị mạng dễ bị tổn thương (bao gồm cả Domain Controller) xác thực với các máy chủ dưới sự kiểm soát của kẻ tấn công, nâng cao đặc quyền để giành quyền kiểm soát hoàn toàn miền Windows.
Mặc dù vậy, NTLM vẫn được sử dụng trên các máy chủ Windows, cho phép kẻ tấn công khai thác các lỗ hổng như ShadowCoerce, DFSCoerce, PetitPotam và RemotePotato0, được thiết kế để vượt qua các biện pháp giảm nhẹ tấn công NTLM Relay.
NTLM cũng là mục tiêu của các cuộc tấn công Pass-The-Hash, trong đó tội phạm mạng khai thác lỗ hổng hệ thống hoặc triển khai phần mềm độc hại để lấy hàm băm NTLM, đại diện cho mật khẩu băm từ hệ thống được nhắm mục tiêu.
Sau khi sở hữu hàm băm, kẻ tấn công có thể sử dụng nó để xác thực là người dùng bị xâm nhập, từ đó có được quyền truy cập vào dữ liệu nhạy cảm và di chuyển rộng rãi trên mạng.
Thông báo kế hoạch ngừng sử dụng NTLM
Các tính năng Kerberos mới sắp có trên Windows 11
Microsoft cho biết các nhà phát triển không nên sử dụng NTLM kể từ năm 2010 và đã khuyến nghị quản trị viên Windows tắt NTLM hoặc cấu hình máy chủ của họ để chặn các cuộc tấn công NTLM Relay bằng dịch vụ Active Directory Certificate Services.
Hiện tại, Microsoft hiện đang nghiên cứu hai tính năng Kerberos mới, thứ nhất là IAKerb (Pass Through Authentication Using Kerberos), cho phép xác thực bằng Domain Controller thông qua máy chủ có quyền truy cập trực tiếp vào hệ thống.
“IAKerb dựa vào bảo mật sử dụng mật mã của Kerberos để bảo vệ các thông điệp truyền qua máy chủ nhằm ngăn chặn các cuộc tấn công Relay hoặc Replay. Loại proxy này hữu ích trong môi trường tường lửa được phân đoạn hoặc các trường hợp truy cập từ xa”, Microsoft giải thích.
Thứ hai là Local KDC (Key Distribution Center) đối với Kerberos, bổ sung hỗ trợ xác thực cho các tài khoản cục bộ. Tính năng này tận dụng IAKerb và Trình quản lý tài khoản bảo mật (SAM) để truyền thông điệp giữa các máy cục bộ từ xa mà không cần sử dụng DCLocator, NetLogon và DNS.
Nhà nghiên cứu Matthew Palko của Microsoft cho biết: “Local KDC được xây dựng dựa trên SAM để việc xác thực từ xa các tài khoản người dùng cục bộ có thể được thực hiện bằng Kerberos. Điều này thúc đẩy IAKerb cho phép Windows chuyển các thông điệp Kerberos giữa các máy cục bộ từ xa mà không cần phải thêm hỗ trợ cho các dịch vụ khác như DNS, netlogon hoặc DCLocator. IAKerb cũng không yêu cầu chúng tôi mở các cổng mới trên máy từ xa để chấp nhận các thông điệp Kerberos”.
Microsoft dự định giới thiệu hai tính năng Kerberos mới này trong Windows 11 để mở rộng phạm vi sử dụng và giải quyết hai thách thức quan trọng dẫn đến việc Kerberos chuyển sang NTLM.
Microsoft cải thiện việc quản lý NTLM
Microsoft cũng có kế hoạch mở rộng các biện pháp kiểm soát quản lý NTLM, cung cấp cho quản trị viên sự linh hoạt hơn trong việc giám sát và hạn chế việc sử dụng NTLM trong môi trường của họ.
Microsoft sẽ dần sửa đổi các thành phần Windows hiện có để thay thế NTLM bằng giao thức Negotiate. Hãng sẽ tiếp tục hỗ trợ NTLM như một cơ chế dự phòng để đảm bảo khả năng tương thích với các ứng dụng và dịch vụ cũ chưa được cập nhật. Microsoft cũng có kế hoạch cải thiện các biện pháp kiểm soát quản lý NTLM để giúp các tổ chức theo dõi việc sử dụng giao thức cũ trong môi trường của họ. Điều này cũng sẽ giúp quản trị viên công nghệ thông tin dễ dàng vô hiệu hóa NTLM cho một dịch vụ cụ thể.
Nhà nghiên cứu Palko cho biết: “Tất cả những thay đổi này sẽ được bật theo mặc định và sẽ không yêu cầu cấu hình trong hầu hết các trường hợp. NTLM sẽ tiếp tục có sẵn dưới dạng dự phòng để duy trì khả năng tương thích hiện có. Điều này sẽ dẫn đến việc NTLM bị vô hiệu hóa tương lai trong Windows 11. Chúng tôi đang thực hiện phương pháp tiếp cận dựa trên dữ liệu và giám sát việc giảm mức sử dụng NTLM để xác định khi nào nó sẽ an toàn để vô hiệu hóa”.
Các nhà nghiên cứu cho biết, trong thời gian chờ đợi, người dùng có thể sử dụng các biện pháp kiểm soát nâng cao mà Microsoft đang cung cấp để bắt đầu. Sau khi bị tắt theo mặc định, người dùng cũng sẽ có thể sử dụng các biện pháp kiểm soát này để kích hoạt lại NTLM vì lý do tương thích.
Phương Chi
13:00 | 20/09/2023
08:00 | 06/03/2024
14:00 | 04/04/2023
09:00 | 20/08/2021
14:00 | 25/03/2024
Sáng 25/3, tại Hà Nội, Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng đã có buổi làm việc với Ban Cơ yếu Chính phủ.
10:00 | 19/03/2024
Làn sóng khởi nghiệp về Trí tuệ nhân tạo (AI) đang dần nóng lên trong cuộc chiến giành nhân tài ở châu Âu, khiến các công ty như Google DeepMind phải đưa ra lựa chọn giữa việc trả mức lương hấp dẫn hoặc đánh mất những bộ óc giỏi nhất của công ty mình.
09:00 | 06/03/2024
Khoảng 22h20' ngày 5/3 (giờ Việt Nam), nhiều người dùng mạng xã hội của Facebook tại Việt Nam đã không thể truy cập được vào tài khoản của mình.
09:00 | 06/03/2024
Hội thảo Quốc gia lần thứ XXVII "Một số vấn đề chọn lọc về Công nghệ thông tin và Truyền thông" – VNICT 2024 do Viện Công nghệ thông tin - Viện Hàn lâm Khoa học và Công nghệ Việt Nam và Trường Đại học Nha Trang đồng tổ chức tại Nha Trang - Khánh Hòa vào các ngày 11-12/10/2024. Hội thảo có sự tham gia phối hợp của Câu lạc bộ các Khoa-Trường-Viện CNTT-TT Việt Nam (FISU) và Tạp chí An toàn thông tin.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 16/4, nhà sản xuất linh kiện bán dẫn tích hợp đa quốc gia AMD đã giới thiệu chip mới mới dành cho máy tính xách tay và máy tính để bàn hỗ trợ trí tuệ nhân tạo (AI), khi các nhà thiết kế chip này tìm cách mở rộng thị phần của mình trên thị trường máy tính sử dụng AI (PC AI).
09:00 | 03/05/2024